Usar o CloudWatch e o CloudWatch Synthetics com endpoints da VPC de interface
Se você usar a Amazon Virtual Private Cloud (Amazon VPC) para hospedar os recursos da AWS, poderá estabelecer uma conexão privada entre a VPC, o CloudWatch e o CloudWatch Synthetics. É possível usar essas conexões para habilitar o CloudWatch e o CloudWatch Synthetics para se comunicar com os recursos na VPC sem passar pela Internet pública.
A Amazon VPC é um produto da AWS que pode ser utilizado para iniciar os recursos da AWS em uma rede virtual definida por você. Com a VPC, você tem controle sobre as configurações de rede, como o intervalo de endereços IP, sub-redes, tabelas de rotas e gateways de rede. Para conectar a VPC ao CloudWatch ou ao CloudWatch Synthetics, defina um endpoint da VPC de interface para conectar a VPC aos produtos da AWS. O endpoint fornece conectividade confiável e escalável com o CloudWatch ou o CloudWatch Synthetics sem a necessidade de um gateway da Internet, da instância de conversão de endereço de rede (NAT) ou de uma conexão VPN. Para obter mais informações, consulte O que é a Amazon VPC? no Manual do usuário da Amazon VPC.
Os VPC endpoints de interface são desenvolvidos pelo AWS PrivateLink, uma tecnologia da AWS permite a comunicação privada entre os serviços da AWS usando uma interface de rede elástica com endereços IP privados. Para obter mais informações, consulte a publicação de blog New – AWS PrivateLink PrivateLink for AWS Services
As etapas a seguir são para usuários da Amazon VPC. Para obter mais informações, consulte Conceitos básicos no Guia do usuário da Amazon VPC.
Endpoint da VPC do CloudWatch
No momento, o CloudWatch oferece suporte a endpoints da VPC nas seguintes regiões da AWS:
Leste dos EUA (Ohio)
Leste dos EUA (N. da Virgínia)
Oeste dos EUA (N. da Califórnia)
Oeste dos EUA (Oregon)
Ásia-Pacífico (Hong Kong)
Asia Pacific (Mumbai)
Ásia-Pacífico (Seul)
Ásia-Pacífico (Singapura)
Ásia-Pacífico (Sydney)
Ásia-Pacífico (Tóquio)
Canadá (Central)
Europa (Frankfurt)
Europa (Irlanda)
Europa (Londres)
Europa (Paris)
Oriente Médio (Emirados Árabes Unidos)
South America (São Paulo)
AWS GovCloud (Leste dos EUA)
AWS GovCloud (Oeste dos EUA)
Criar um endpoint da VPC para o CloudWatch
Para começar a usar o CloudWatch na VPC, crie um endpoint da VPC de interface para o CloudWatch. O nome do serviço a ser escolhido é com.amazonaws.
. Para obter mais informações, consulte Criar um endpoint de interface no Guia do usuário da Amazon VPC.region
.monitoring
Você não precisa alterar as configurações do CloudWatch. O CloudWatch chama outros serviços da AWS usando endpoints públicos ou privados da VPC de interface, o que estiver em uso. Por exemplo, ao criar um endpoint da VPC de interface para o CloudWatch, se você já tiver uma métrica fluindo para o CloudWatch a partir de recursos localizados em sua VPC, essas métricas começarão a fluir por meio do endpoint da VPC de interface por padrão.
Controlar o acesso ao endpoint da VPC do CloudWatch
Uma política de endpoint da VPC é uma política de recursos do IAM que você anexa a um endpoint quando cria ou modifica o endpoint. Se você não associar uma política ao criar um endpoint, a Amazon VPC associará uma política padrão que permita o acesso total ao serviço. Uma política de endpoint não substitui políticas de usuário do ou políticas de serviço específicas. É uma política separada para controlar o acesso do endpoint ao serviço especificado.
Políticas de endpoint devem ser gravadas em formato JSON.
Para obter mais informações, consulte Controlar o acesso a serviços com VPC endpoints no Manual do usuário da Amazon VPC.
Veja a seguir um exemplo de uma política de endpoints do CloudWatch. Esta política permite que os usuários se conectem ao CloudWatch por meio da VPC para enviar dados de métrica ao CloudWatch e impede que outras ações do CloudWatch sejam executadas.
{ "Statement": [ { "Sid": "PutOnly", "Principal": "*", "Action": [ "cloudwatch:PutMetricData" ], "Effect": "Allow", "Resource": "*" } ] }
Como editar a política de endpoint da VPC para o CloudWatch
Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/
. -
No painel de navegação, escolha Endpoints.
Se você ainda não tiver criado o endpoint para o CloudWatch, escolha Create Endpoint (Criar endpoint). Selecione com.amazonaws.
region
.monitoring e escolha Create endpoint (Criar endpoint).Selecione o endpoint com.amazonaws.
region
.monitoring e escolha a guia Policy (Política).-
Escolha Edit Policy (Editar política) e faça as alterações.
Endpoint da VPC do CloudWatch Synthetics
No momento, o CloudWatch Synthetics oferece suporte a endpoints da VPC nas seguintes regiões da AWS:
Leste dos EUA (Ohio)
Leste dos EUA (N. da Virgínia)
Oeste dos EUA (N. da Califórnia)
Oeste dos EUA (Oregon)
Ásia-Pacífico (Hong Kong)
Asia Pacific (Mumbai)
Ásia-Pacífico (Seul)
Ásia-Pacífico (Singapura)
Ásia-Pacífico (Sydney)
Ásia-Pacífico (Tóquio)
Canadá (Central)
Europa (Frankfurt)
Europa (Irlanda)
Europa (Londres)
Europa (Paris)
América do Sul (São Paulo)
Criar um endpoint da VPC para o CloudWatch Synthetics
Para começar a usar o CloudWatch Synthetics com a VPC, crie um endpoint da VPC de interface para o CloudWatch Synthetics. O nome do serviço a ser escolhido é com.amazonaws.
. Para obter mais informações, consulte Criar um endpoint de interface no Guia do usuário da Amazon VPC.region
.synthetics
Você não precisa alterar as configurações do CloudWatch Synthetics. O CloudWatch Synthetics se comunica com outros produtos da AWS usando endpoints da VPC de interface públicos ou privados, o que estiver em uso. Por exemplo, se você criar um endpoint da VPC de interface para o CloudWatch Synthetics e já tiver um endpoint de interface para o Amazon S3, o CloudWatch Synthetics começará a se comunicar com o Amazon S3 por meio do endpoint da VPC de interface por padrão.
Controlar o acesso ao endpoint da VPC do CloudWatch Synthetics
Uma política de endpoint da VPC é uma política de recursos do IAM que você anexa a um endpoint quando cria ou modifica o endpoint. Se você não anexar uma política quando criar um endpoint, anexaremos uma política padrão que permita o acesso total ao serviço. Uma política de endpoint não substitui políticas de usuário do ou políticas de serviço específicas. É uma política separada para controlar o acesso do endpoint ao serviço especificado.
As políticas de endpoint afetam os canaries que são gerenciados de forma privada pela VPC. Elas não são necessárias para canaries que são executados em sub-redes privadas.
Políticas de endpoint devem ser gravadas em formato JSON.
Para obter mais informações, consulte Controlar o acesso a serviços com VPC endpoints no Manual do usuário da Amazon VPC.
Veja a seguir um exemplo de política de endpoint para o CloudWatch Synthetics. Essa política permite que os usuários se conectem ao CloudWatch Synthetics por meio da VPC para visualizar informações sobre canaries e suas execuções, mas não para criar, modificar nem excluir canaries.
{ "Statement": [ { "Action": [ "synthetics:DescribeCanaries", "synthetics:GetCanaryRuns" ], "Effect": "Allow", "Resource": "*", "Principal": "*" } ] }
Como editar a política de endpoint da VPC para o CloudWatch Synthetics
Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/
. -
No painel de navegação, escolha Endpoints.
Se você ainda não tiver criado o endpoint para o CloudWatch Synthetics, selecione Create Endpoint (Criar endpoint). Selecione com.amazonaws.
region
.synthetics e escolha Create endpoint (Criar endpoint).Selecione o endpoint com.amazonaws.
region
.synthetics e escolha a guia Policy (Política).-
Escolha Edit Policy (Editar política) e faça as alterações.